Los atacantes hacen todo lo posible para que las Mac de los desarrolladores de iOS estén detrás de la puerta


Foto de primer plano del teclado y la barra de herramientas de Mac.

Los investigadores dijeron que encontraron una biblioteca de código troyano en la naturaleza que intenta instalar malware de vigilancia avanzado en Mac de desarrolladores de software iOS.

Fue un proyecto malicioso que el atacante escribió para Xcode, una herramienta de desarrollo que los desarrolladores de Apple que escriben aplicaciones para iOS u otro sistema operativo de Apple ponen a disposición de forma gratuita. El proyecto era una copia de TabBarInteraction, un proyecto legítimo de código abierto que facilita a los desarrolladores la animación de las barras de pestañas de iOS según la interacción del usuario. Un proyecto de Xcode es un repositorio de todos los archivos, recursos e información necesarios para crear una aplicación.

Caminar sobre cáscaras de huevo

Junto al código legítimo había un script disfrazado llamado «Ejecutar script». El script, que se ejecutaba cada vez que se iniciaban las compilaciones del desarrollador, se puso en contacto con un servidor controlado por un atacante para descargar e instalar una versión personalizada de EggShell, una puerta trasera de código abierto que espía a los usuarios a través de un micrófono, una cámara y un teclado.

Los investigadores de SentinelOne, la empresa de seguridad que descubrió el proyecto troyanizado, lo llamaron XcodeSpy. Dicen que descubrieron dos versiones del EggShell personalizado que fueron eliminados por el proyecto malicioso. Ambos se cargaron en VirusTotal desde Japón a través de la interfaz web, el primero el 5 de agosto y el segundo el 13 de octubre.

«La última muestra también se encontró en estado salvaje en la Mac de una víctima en los Estados Unidos a fines de 2020», escribió el investigador de SentinelOne, Phil Stokes, en una publicación de blog el jueves. “Por razones de confidencialidad, no podemos proporcionar más detalles sobre la ITW [in the wild] Incidente. Sin embargo, la víctima informó que habían sido atacadas repetidamente por actores de APT norcoreanos y que la infección salió a la luz como parte de sus actividades habituales de caza de amenazas. «

Hasta ahora, los investigadores de la empresa solo conocen un caso de una organización con sede en EE. UU. La evidencia del análisis de SentinelOne sugiere que la campaña «estuvo operativa al menos entre julio y octubre de 2020 y también puede haberse dirigido a desarrolladores en Asia».

Desarrollador atacado

La publicación del jueves se produjo dos meses después de que los investigadores de Microsoft y Google dijeron que los piratas informáticos patrocinados por el gobierno de Corea del Norte estaban tratando activamente de infectar las computadoras de los investigadores de seguridad. Para ganarse la confianza de los investigadores, los piratas informáticos pasaron semanas creando perfiles de Twitter y estableciendo relaciones de trabajo en línea.

Finalmente, los perfiles falsos de Twitter llevaron a los investigadores a usar Internet Explorer para abrir una página web. Aquellos que mordieron el anzuelo descubrieron que su computadora con Windows 10 completamente parcheada tenía un servicio malicioso y una puerta trasera en la memoria instalada. Microsoft solucionó la vulnerabilidad la semana pasada.

Además del ataque del pozo de agua, los piratas informáticos enviaron a los desarrolladores específicos un proyecto de Visual Studio que supuestamente contenía código fuente para un exploit de prueba de concepto. El proyecto contenía malware personalizado que se puso en contacto con el servidor de control del atacante.

Malicia velada

Los desarrolladores experimentados conocen desde hace mucho tiempo la importancia de comprobar si hay scripts de ejecución maliciosos antes de utilizar un proyecto de Xcode de terceros. Si bien los scripts no son difíciles de reconocer, XcodeSpy ha intentado hacer el trabajo más difícil codificando el script.

SentinelOne

Al decodificar, quedó claro que el script se puso en contacto con un servidor en cralev[.]Yo y envié el misterioso comando mdbcmd a través de un shell inverso integrado en el servidor.

SentinelOne

La única advertencia que recibiría un desarrollador después de ejecutar el proyecto Xcode es la siguiente:

Patrick Wardle

SentinelOne proporciona una secuencia de comandos que los desarrolladores pueden utilizar para encontrar fácilmente secuencias de comandos de ejecución en sus proyectos. La publicación del jueves también incluye indicadores de compensaciones que los desarrolladores pueden usar para averiguar si han sido atacados o infectados.

Un vector de malicia

No es la primera vez que se utiliza Xcode en un ataque de malware. En agosto del año pasado, los investigadores descubrieron proyectos de Xcode disponibles en línea que tenían exploits integrados para dos vulnerabilidades de día cero de Safari. Tan pronto como se abrió y creó uno de los proyectos XCSSET, según un análisis de TrendMicro, el código malicioso se ejecutó en las Mac de los desarrolladores.

Y en 2015, los investigadores encontraron 4.000 aplicaciones de iOS infectadas con XcodeGhost, el nombre de una versión comprometida de Xcode que se distribuyó principalmente en Asia. Los atacantes pueden usar aplicaciones compiladas con XcodeGhost para leer y escribir en el portapapeles del dispositivo, abrir URL específicas y exfiltrar datos.

A diferencia de XcodeGhost, que infectó aplicaciones, XcodeSpy apuntó a los desarrolladores. Dada la calidad de la puerta trasera de vigilancia instalada XcodeSpy, no sería un problema para los atacantes terminar poniendo malware a disposición de los usuarios del software desarrollador.

«Hay otros escenarios con víctimas de tan alta calidad», escribió SentinelOnes Stokes. “Los atacantes podrían simplemente buscar objetivos de interés y recopilar datos para campañas futuras, o podrían intentar recopilar credenciales de AppleID para usarlas en otras campañas que usan malware con firmas de código de desarrollador de Apple válidas. Estas propuestas no son exhaustivas ni mutuamente excluyentes. «

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *